JP2017126283A - 検知プログラム、検知方法および検知装置 - Google Patents

検知プログラム、検知方法および検知装置 Download PDF

Info

Publication number
JP2017126283A
JP2017126283A JP2016006455A JP2016006455A JP2017126283A JP 2017126283 A JP2017126283 A JP 2017126283A JP 2016006455 A JP2016006455 A JP 2016006455A JP 2016006455 A JP2016006455 A JP 2016006455A JP 2017126283 A JP2017126283 A JP 2017126283A
Authority
JP
Japan
Prior art keywords
event
learning model
anomaly
detection
predetermined
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016006455A
Other languages
English (en)
Other versions
JP6827266B2 (ja
Inventor
喜則 坂本
Yoshinori Sakamoto
喜則 坂本
松原 正純
Masazumi Matsubara
正純 松原
小林 賢司
Kenji Kobayashi
賢司 小林
佑介 小▲柳▼
Yusuke Koyanagi
佑介 小▲柳▼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2016006455A priority Critical patent/JP6827266B2/ja
Priority to US15/376,815 priority patent/US20170208080A1/en
Publication of JP2017126283A publication Critical patent/JP2017126283A/ja
Application granted granted Critical
Publication of JP6827266B2 publication Critical patent/JP6827266B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/04Inference or reasoning models
    • G06N5/045Explanation of inference; Explainable artificial intelligence [XAI]; Interpretable artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Artificial Intelligence (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Medical Informatics (AREA)
  • Computational Linguistics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Debugging And Monitoring (AREA)

Abstract

【課題】間欠的で長期間にわたる事象を伴う異常の検知を可能とする。
【解決手段】実施形態の検知プログラムは、過去ログに含まれる事象の中から、所定の事象を抽出し、所定の事象ごとに、所定の事象と関連する複数の関連事象を所定の事象を起点とする所定の時間幅にわたって抽出する処理をコンピュータに実行させる。また、検知プログラムは、所定の事象および関連事象に対応するパターンデータを作成する処理をコンピュータに実行させる。また、検知プログラムは、パターンデータを所定の事象の時間順に結合した学習モデルを構築する処理をコンピュータに実行させる。また、検知プログラムは、学習モデルと、発生した事象に応じて入力されるイベントデータとの照合結果をもとに異常の検知を行う処理をコンピュータに実行させる。
【選択図】図1

Description

本発明の実施形態は、検知プログラム、検知方法および検知装置に関する。
従来、大規模コンピュータシステムやネットワークシステム等の監視対象のシステムにおいては、サイバー攻撃などによるシステム障害等の異常(アノマリ)検知が行われている。このアノマリ検知においては、例えばシステムにおける過去の時系列データを過去のメタデータとしてメタデータ化して格納する。そして、システムにおけるリアルタイムの時系列データについてメタデータを生成し、過去のメタデータと照合することで、システムの障害等の検知を行う。
特開2006−275700号公報 特開平02−29894号公報 特開2009−289221号公報 特開2003−177901号公報
しかしながら、上述した従来技術では、間欠的で長期間にわたる事象を伴う異常を検知することが困難であるという問題がある。
例えば、間欠的で長期間にわたる事象を伴う異常としては、メールやWebを連携した高度な標的型攻撃による異常があり、一例としてやり取り型標的型メール攻撃による異常がある。このやり取り型標的型メール攻撃では、攻撃元から標的へのメール間隔が数日に及ぶ場合がある。
このように、攻撃元から標的へのメールが間欠的で長期間にわたって行われる場合には、過去の時系列データにおいてメール間に生じた数々の別事象が混じることとなる。よって、リアルタイムに得られた時系列データとの照合を行った場合に、メール間に生じた数々の別事象との不一致により異常の検知精度が低減することがある。また、異常検知のために保持する過去の時系列データのデータ量が膨大なものとなり、高速に照合を行うことが困難なものとなる。
1つの側面では、間欠的で長期間にわたる事象を伴う異常の検知を可能とする検知プログラム、検知方法および検知装置を提供することを目的とする。
第1の案では、検知プログラムは、過去ログに含まれる事象の中から、所定の事象を抽出し、所定の事象ごとに、所定の事象と関連する複数の関連事象を所定の事象を起点とする所定の時間幅にわたって抽出する処理をコンピュータに実行させる。また、検知プログラムは、所定の事象および関連事象に対応するパターンデータを作成する処理をコンピュータに実行させる。また、検知プログラムは、パターンデータを所定の事象の時間順に結合した学習モデルを構築する処理をコンピュータに実行させる。また、検知プログラムは、学習モデルと、発生した事象に応じて入力されるイベントデータとの照合結果をもとに異常の検知を行う処理をコンピュータに実行させる。
本発明の1実施態様によれば、間欠的で長期間にわたる事象を伴う異常を検知できる。
図1は、実施形態にかかる検知装置の構成例を示すブロック図である。 図2は、学習モデルの構築とアノマリ検知の概要を説明する説明図である。 図3は、学習モデルを説明する説明図である。 図4−1は、学習モデルの構築にかかる処理の一例を示すフローチャートである。 図4−2は、学習モデルの構築にかかる処理の一例を示すフローチャートである。 図5は、定義・ルール情報を説明する説明図である。 図6は、部分管理表とアノマリ・パターンを説明する説明図である。 図7は、アノマリ・パターンの圧縮を説明する説明図である。 図8は、共通部のマージを説明する説明図である。 図9は、アノマリ検知にかかる処理の一例を示すフローチャートである。 図10は、異常検知の一例を説明する説明図である。 図11は、やりとり型標的型メール攻撃における異常検知を説明する説明図である。 図12は、実施形態にかかる検知装置のハードウエア構成の一例を示すブロック図である。
以下、図面を参照して、実施形態にかかる検知プログラム、検知方法および検知装置を説明する。実施形態において同一の機能を有する構成には同一の符号を付し、重複する説明は省略する。なお、以下の実施形態で説明する検知プログラム、検知方法および検知装置は、一例を示すに過ぎず、実施形態を限定するものではない。また、以下の各実施形態は、矛盾しない範囲内で適宜組みあわせてもよい。
図1は、実施形態にかかる検知装置1の構成例を示すブロック図である。図1に示す検知装置1は、例えばPC(パーソナルコンピュータ)等の情報処理装置である。
検知装置1は、例えば、大規模コンピュータシステムやネットワークシステム等の監視対象のシステム(図示しない)において過去に発生した事象が時系列順に記述された過去ログ20を読み込んで学習モデル13を構築する。検知装置1は、監視対象のシステムにおいてリアルタイムに発生した事象に応じて入力されるイベントデータ30を受け付け、構築された学習モデル13と、イベントデータ30との照合結果をもとに監視対象のシステムにおける異常(アノマリ)を検知し、検知結果をユーザへ報知する。例えば、検知装置1は、アノマリ検知の検知結果を他の端末装置2や所定のアプリへ出力し、端末装置2における検知結果の表示やアプリ通知などを介してユーザへの検知結果の報知を行う。
過去ログ20およびイベントデータ30における事象については、様々なものがあってよく、特に限定しない。例えば、監視対象のシステムへのサイバー攻撃などをアノマリとして検知する場合には、メール受信、メール操作、PC操作、Webアクセス、データ通信などの事象がある。また、監視対象のシステムにおける不正入場などをアノマリとして検知する場合には、監視カメラの映像やカードキーの操作などにより検出されたユーザの行動などの事象がある。また、監視対象のシステムにおける環境異常をアノマリとして検知する場合には、センサにより検出された温度、湿度などの事象がある。
なお、本実施形態では、監視対象のシステムへのサイバー攻撃をアノマリとして検知する検知装置1を例示する。よって、過去ログ20およびイベントデータ30には、メール受信、メール操作、PC操作、Webアクセス、データ通信などのサイバー攻撃にかかる各種事象が含まれるものとする。
図1に示すように、検知装置1は、前処理部10a、10b、定義・ルール情報11、学習モデル構築部12、学習モデル13、アノマリ検知部14、分散・並列処理部15および出力部16を有する。
前処理部10a、10bは、入力されたデータについて、データの整形・加工などの前処理を行う。前処理部10aは、監視対象のシステムより入力された過去ログ20に前処理を行い、処理後のデータを学習モデル構築部12に出力する。前処理部10bは、監視対象のシステムより入力されたイベントデータ30に前処理を行い、処理後のデータをアノマリ検知部14に出力する。なお、前処理部10a、10bについては、過去ログ20およびイベントデータ30で分ける構成とすることなく、1つの前処理部を共有する構成であってもよい。
過去ログ20およびイベントデータ30に対する前処理としては、過去ログ20およびイベントデータ30に含まれる各事象の内容を予め定められた条件に従ってグループ分けし、数値や文字に変換する変換処理がある。これにより、例えば過去ログ20およびイベントデータ30に含まれる事象の内容が互いに同じ場合には、前処理部10a、10bの前処理によって同一の数値または文字に変換されることとなる。
定義・ルール情報11は、学習モデル13の構築についての定義・ルールを示す情報である。ユーザにより予め設定された定義・ルール情報11がメモリなどの記憶装置に格納されている。学習モデル構築部12は、前処理後の過去ログ20をもとに、定義・ルール情報11に従って学習モデル13を構築する。構築された学習モデル13は、メモリなどの記憶装置に格納される。アノマリ検知部14は、過去ログ20より構築された学習モデル13と、前処理後のイベントデータ30とを照合し、監視対象のシステムにおいてリアルタイムに発生した事象、すなわち監視対象のシステムの現状における異常(アノマリ)の検知を行う。アノマリ検知部14は、検知結果を出力部16に出力する。出力部16は、アノマリ検知部14による検知結果を端末装置2や所定のアプリなどに出力する。
分散・並列処理部15は、複数のスレッドを用いるなどして検知装置1における各処理を分散・並列化する。例えば、分散・並列処理部15は、アノマリ検知部14におけるアノマリ検知にかかる処理を分散・並列化する。このようにアノマリ検知部14における処理を分散・並列化することで、アノマリ検知をより高速に行うことができ、アノマリ検知のリアルタイム性を向上することができる。なお、分散・並列処理部15による処理の分散・並列化は、前処理部10a、10b、学習モデル構築部12における各処理に適用してもよい。
図2は、学習モデル13の構築とアノマリ検知の概要を説明する説明図である。図2の上段には、過去ログ20に含まれる各事象が時間順に示されている。ここで、メール相手(a、b…)はやり取り型標的型メール攻撃とは無関係のものとし、メール相手(x)はやり取り型標的型メール攻撃を行う相手であるものとする。また、期間T1は、所定のメール相手(図示例ではメール相手x)のメール受信に応じたメール操作の期間を示すものとする。また、期間T2は、所定のメール相手(図示例ではメール相手x)のメール受信に応じたメール操作に関連した全ての事象が終了するまでの期間(関連期間とも呼ぶ)を示すものとする。
図2に示すように、学習モデル構築部12は、定義・ルール情報11に記述された定義・ルールを参照して過去ログ20に含まれる事象の中から所定の事象(図示例では、メール相手ごとのメール受信であり特定事象または主軸と呼ぶ)を抽出する。具体的には、学習モデル構築部12は、メール相手(a、b、…、x)ごとのメール受信という特定事象(主軸)を抽出する。次いで、学習モデル構築部12は、この特定事象ごとに、定義・ルール情報11に記述された定義・ルールに示された特定事象と関連する複数の関連事象について、特定事象を起点とする所定の時間幅にわたって抽出する。
例えば、メール操作、PC操作、Webアクセス、通信データなどの1〜Nの関連事象が定義・ルールに示されている場合、学習モデル構築部12は、特定事象および関連事象(1〜N)を、全ての事象が終了するまでの期間T2にわたって抽出する。この特定事象および関連事象の抽出が行われる時間幅(例えば期間T2)については、以後の説明で部分とも呼ぶものとする。学習モデル構築部12は、特定事象に対応する部分ごとに、特定事象および関連事象を抽出する。
次いで、学習モデル構築部12は、期間T2にわたって抽出された特定事象および関連事象の内容に対応するパターンデータ(以下、アノマリ・パターンとも呼ぶ)を作成する。具体的には、学習モデル構築部12は、特定事象および関連事象の内容に応じて前処理により数値や文字で変換した値を時間順に並べたアノマリ・パターンを作成する。
なお、学習モデル構築部12は、各部分のアノマリ・パターンの作成において、特定事象および関連事象における事象ごとのアノマリ・パターンを互いに時間的に整合が取れた形にする。具体的には、学習モデル構築部12は、定義・ルール情報11において事象ごとに予め設定されたマスキングのルールをもとに、特定事象および関連事象の中であるタイミングで実体のない事象については所定のマスキングを行う。これにより、事象ごとのアノマリ・パターンを時間的に整合した形とする。
例えば、PC操作を伴うWebアクセスが行われた場合には、関連事象のPC操作およびWebアクセスにおいて同じタイミングで実施内容に対応するアノマリ・パターンが生成される。これに対し、PC操作を伴わないWebアクセスが行われた場合には、Webアクセスが行われたタイミングでPC操作の実体がなく、互いのアノマリ・パターンの時間的な整合が取れなくなる。したがって、実体のないPC操作については、予め設定されたマスキングのルールに基づくマスキング・パターンで補填することで、互いのアノマリ・パターンを時間的に整合した形とする。
次いで、学習モデル構築部12は、特定事象ごとの各部分のアノマリ・パターンを時間順に結合(統合)して学習モデル13を構築する。例えば、学習モデル構築部12は、メール相手(x)のメール受信ごとの、各部分のアノマリ・パターンを時間順に結合(統合)してメール相手(x)の学習モデル13を構築する。同様にメール相手(a、b、…)についても、学習モデル構築部12は、メール受信ごとの各部分のアノマリ・パターンを時間順に結合(統合)してメール相手(a、b、…)の学習モデル13を構築する。
なお、メール相手(x)はやり取り型標的型メール攻撃を行う相手である。よって、教師付き学習である場合、学習モデル構築部12は、メール相手(x)について各部分を時間順に結合(統合)した学習モデル13を、アノマリ検知すべきパターン(検知パータン)として構築する。また、学習モデル構築部12は、メール相手(a、b、…)について各部分を時間順に結合(統合)した学習モデル13を、アノマリ検知から除外すべき定常のパターン(除外パータン)として構築する。
図3は、学習モデル13を説明する説明図である。図3に示すように、学習モデル13は、特定事象ごとの部分群(各部分)を管理する部分群管理表131と、部分ごとの情報を管理する部分管理表132と、各部分のアノマリ・パターン133とを有する。
部分群管理表131は、メール相手(a、b、…、x)からのメール受信という特定事象(主軸)ごとの、各部分の情報を統括管理するテーブルであり、例えばポインタ情報、主軸の部分識別子、アノマリ度、部分管理表アドレスを有する。
ポインタ情報には、各部分群管理表131のアドレスを示す情報が格納される。例えば、やり取り型標的型メール攻撃を行うメール相手(x)についての部分群管理表131には、検知パターンとして参照されるアドレスがポインタ情報に記述される。また、通常のメールをやり取りするメール相手(a、b、…)についての部分群管理表131には、除外パターンとして参照されるアドレスがポインタ情報に記述される。
主軸の部分識別子には、特定事象(主軸)を識別するためにユニークに割り当てられた値が格納される。例えば、部分識別子には、メール相手のID(例えばメールアドレス)とメール命題のID(例えばメールタイトル)とを組み合わせた値が格納される。これにより、例えば、やり取り型標的型メール攻撃においてやり取りされるメールについては、同一の部分識別子が格納されることとなる。アノマリ度には、過去ログ20の中で特定事象が出現した出現頻度を示す値が格納される。部分管理表アドレスには、部分ごとの情報を管理する部分管理表132を示すアドレスが格納される。
部分管理表132は、部分ごとの情報を統括管理するテーブルであり、例えば、ポインタ情報、主軸の部分識別子、部分の出現頻度、アノマリ・パターンのアドレスを有する。ポインタ情報には、時間順に結合された次の部分を示すアドレスが格納される。これにより、部分管理表132のポインタ情報を参照することで、時間順に結合された部分ごとの情報を、時間軸に沿って順次参照することができる。部分の出現頻度には、過去ログ20の中で部分が出現した出現頻度を示す値が格納される。アノマリ・パターンのアドレスには、対象の部分におけるアノマリ・パターン133を示すアドレスが格納される。
図2に戻り、アノマリ検知部14は、構築された学習モデル13について、時間軸に沿って、順次、発生した事象に応じて入力されるイベントデータ30との比較、すなわちシステムの現状との比較(照合)を行い、アノマリ(異常)を検知する。例えば、アノマリ検知部14は、システムの現状が検知パターンとして構築された学習モデル13と照合する場合には検知パターンに対応するアノマリが発生したことを検知する。また、アノマリ検知部14は、システムの現状が除外パターンとして構築された学習モデル13と照合しない場合には、定常から外れた何らかのアノマリが発生したことを検知する。一例として、やり取り型標的型メール攻撃を行うメール相手(x)についての部分を統合した学習モデル13と、システムの現状とが合う場合には、やり取り型標的型メール攻撃にかかるアノマリ検知を行う。
ここで、学習モデル13の構築にかかる処理の詳細を説明する。図4−1および図4−2は、学習モデル13の構築にかかる処理の一例を示すフローチャートである。なお、図4−2は、図4−1に続く処理のフローチャートである。
図4−1に示すように、処理が開始されると、学習モデル構築部12は、メモリなどに格納された定義・ルール情報11の読込みを行う(S1)。
図5は、定義・ルール情報11を説明する説明図である。図5に示すように、定義・ルール情報11は、主軸となる特定事象および特定事象と関連する関連事象について(1〜Nの事象)、各事象への適用ルールなどの情報を含む。
例えば、各事象への適用ルールには、事象の発生を示す起点および事象の終了を示す終点のルールがあり、事象に対応したものが予め設定される。また、適用ルールには、各事象においてアノマリ・パターンを時間的に整合した形とするためのマスキングについてのルール(マスキング・パターン)がある。マスキングのルールについては、例えば、(a):ワイルドカード(合致)、(b):パディング(直前を延長)、(c):0(NULL)の適用などがあり、事象に対応したものが予め設定される。適用ルールには、各事象においてアノマリ算出(出現頻度の算出)を行うためのルールがあり、事象に対応した算出方法が予め設定される。
次いで、学習モデル構築部12は、過去ログ20の読込みを行い(S2)、過去ログ20において事象ごとに記述された処理のプロセス名などを参照することで、定義・ルール情報11に示された主軸の各事象(特定事象の各々)を過去ログ20より抽出する(S3)。次いで、学習モデル構築部12は、S3で抽出された主軸の各事象を起点として、定義・ルール情報11に示された主軸の関連事象を過去ログ20より抽出する(S4)。
次いで、学習モデル構築部12は、主軸の事象(特定事象)ごとに、主軸の事象および関連事象の全ての事象が終了するまでの関連期間、すなわち各部分の時間幅を算出する(S5)。具体的には、学習モデル構築部12は、プロセス切換などの処理の論理関係を調べ、主軸の事象および関連事象におけるプロセスを追跡する。次いで、学習モデル構築部12は、定義・ルール情報11において事象ごとに示された終点のルールをもとに、主軸の事象および関連事象の各事象におけるプロセスの終点を求める。次いで、学習モデル構築部12は、求めた終点の中で起点に対する終点が最も長いものを関連期間の終点とする。学習モデル構築部12は、S3、S4において抽出された事象を算出された関連期間内のものに絞り込み、部分ごとの事象を抽出する。
次いで、学習モデル構築部12は、定義・ルール情報11に基づき、各部分における事象ごとのマスキング・パターンを作成する(S6)。具体的には、学習モデル構築部12は、定義・ルール情報11における事象ごとのマスキングのルール((a)、(b)または(c))を参照し、事象に対応したルールでマスキング・パターンを作成する。これにより、関連期間内の各事象について、実体がない期間のアノマリ・パターン133については、S6で作成されたマスキング・パターンで補填される。これにより、アノマリ・パターン133の各事象を時間的に整合した形とすることができる。
次いで、学習モデル構築部12は、全部分についてS3〜S6の処理が完了したか否かを判定する(S7)。全部分の処理が完了していない場合(S7:NO)、学習モデル構築部12は、S3へ処理を戻し、処理が完了していない次の部分についての処理を実施する。
全部分の処理が完了した場合(S7:YES)、学習モデル構築部12は、定義・ルール情報11のアノマリ算出のルールに基づき、部分の事象別(1〜N)のアノマリ度(出現頻度)を算出する(S8)。次いで、学習モデル構築部12は、部分毎に抽出した事象の内容を前処理により数値や文字で変換した値を時間順に並べ、部分毎のアノマリ・パターン133を作成する(S9)。なお、学習モデル構築部12は、実体がない期間についてはS6において作成されたマスキング・パターンで補填してアノマリ・パターン133を作成する。
ここで、学習モデル構築部12は、部分毎に部分識別子を付与した部分管理表132を作成し、S9で作成したアノマリ・パターン133のアドレスを部分管理表132に格納する。
図6は、部分管理表132とアノマリ・パターン133を説明する説明図である。図6に示すように、学習モデル構築部12は、メール相手のID(例えばメールアドレス)とメール命題のID(例えばメールタイトル)とを組み合わせた部分識別子を付与した部分管理表132を作成する。次いで、学習モデル構築部12は、S9で作成したアノマリ・パターン133のアドレスを部分管理表132に格納する。
なお、学習モデル構築部12は、部分毎のアノマリ・パターン133を時間軸で圧縮し、圧縮後のアノマリ・パターン133のアドレスを部分管理表132に格納してもよい。図7は、アノマリ・パターン133の圧縮を説明する説明図である。
なお、図7において、アノマリ・パターン133aは圧縮前のアノマリ・パターンを示し、アノマリ・パターン133bは圧縮後のアノマリ・パターンを示すものとする。また、アノマリ・パターンにかかる事象については、A〜Cの3つの事象があるものとする。事象Aについては、グループ分けにより0、1、2のいずれかの値に変換されるものとし、変換後の値(事象Aのアノマリ・パターン)は時間順に1、1、0、0、1、2、2となるものとする。また、事象Bについては、グループ分けにより0、1のいずれかの値に変換されるものとし、事象Bのアノマリ・パターンは時間順に0、0、0、0、0、0、1となるものとする。また、事象Cについては、グループ分けにより0、1、2のいずれかの値に変換されるものとし、事象Cのアノマリ・パターンは1、1、1、1、1、1、1となるものとする。
圧縮前のアノマリ・パターン133aでは、事象A、B、Cのパターンが(1、0、1)または(0、0、1)である、連続した時間幅の部分がある。学習モデル構築部12は、このように時間軸において連続したパターンの部分を時間幅を示す情報を変更(図示例では1から2に変更)して圧縮する。このように、学習モデル構築部12は、アノマリ・パターン133を時間軸で圧縮することで、アノマリ・パターン133のデータ量を削減してもよい。
図4−1に戻り、S9に次いで、学習モデル構築部12は、全部分についてS8、S9の処理が完了したか否かを判定する(S10)。全部分の処理が完了していない場合(S10:NO)、学習モデル構築部12は、S8へ処理を戻し、処理が完了していない次の部分についての処理を実施する。
全部分の処理が完了した場合(S10:YES)、学習モデル構築部12は、全ての部分に対して出現頻度を算出し、算出した出現頻度を部分管理表132に反映する(S11)。具体的には、学習モデル構築部12は、1/母数(=全部分数)として出現頻度を算出し、算出した出現頻度を部分管理表132における部分の出現頻度に格納する。
次いで、学習モデル構築部12は、過去ログ20に出現した時間順に部分をソートし(S12)、同一の部分識別子が付与された部分を統合(結合)する(S13)。具体的には、各部分を管理する部分管理表132のポインタ情報をS12でソートした順序で参照するように設定する。これにより、例えばメール相手ごとのメール受信という特定事象ごとに抽出された部分が統合される。
部分識別子には、一例として、メール相手のID(例えばメールアドレス)とメール命題のID(例えばメールタイトル)とを組み合わせた値が格納される。よって、S13では、同じメール相手との同じ命題のメールのやり取りについての部分であり、例えばやり取り型標的型メール攻撃で想定されるメールのやり取りの部分が時間順に統合されることとなる。これにより、やり取り型標的型メール攻撃で想定されるメールのやり取り間に生じた数々の別事象が学習モデル13に混じることを抑止できる。また、メールのやり取り開始から終了するまでの長期にわたる事象をもとに学習モデル13を構築する場合に比べて、学習モデル13のデータ量を削減することができる。
次いで、学習モデル構築部12は、S13で統合した部分間の接続部においてアノマリ・パターン133が同一の時は、同一する部分をマージしてデータ量を圧縮する(S14)。具体的には、図7に例示したアノマリ・パターン133の圧縮と同様に、アノマリ・パターン133が同一である部分の圧縮を行う。
次いで、学習モデル構築部12は、「定常」の除外パターンの学習であるか、教師付き学習による「異常」の検知パターンの学習であるかを判定する(S15)。具体的には、学習モデル構築部12は、過去ログ20を読み込んだ教師付き学習であるか否かをもとに「定常」または「異常」の判定を行う。
S15において「定常」の場合、すなわちメール相手(a、b、…)より学習モデル13を構築した場合、学習モデル構築部12は、構築した学習モデル13を除外パターンとして登録する(S16)。また、S15において「異常」の場合、すなわちメール相手(x)より学習モデル13を構築した場合、学習モデル構築部12は、構築した学習モデル13を検知パターンとして登録する(S17)。
次いで、学習モデル構築部12は、全部分についてS13〜S17の処理が完了したか否かを判定する(S18)。全部分の処理が完了していない場合(S18:NO)、学習モデル構築部12は、S13へ処理を戻し、処理が完了していない次の部分についての処理を実施する。
全部分の処理が完了した場合(S18:YES)、学習モデル構築部12は、除外パターンまた検知パターンごとに学習モデル13の部分群同士を比較し(S19)、部分群同士での共通性・重複の有無を判定する(S20)。具体的には、学習モデル構築部12は、互いの部分群のアノマリ・パターン133を比較し、部分群の全体または部分群の途中までの部分で一致する部分を共通性・重複のある共通部と判定する。
共通性・重複がある場合(S20:YES)、学習モデル構築部12は、共通性・重複があると判定された共通部をマージし、マージされた部分のアノマリ度(出現頻度)を変更する(S21)。具体的には、学習モデル構築部12は、マージ前の互いの共通部における出現頻度を合算するなどして、マージされた部分のアノマリ度を求め、新たなアノマリ度に変更する。共通性・重複がない場合(S20:NO)、学習モデル構築部12は、S21をスキップしてS22へ処理を進める。
図8は、共通部のマージを説明する説明図である。具体的には、部分群管理表131A、部分管理表132Aおよびアノマリ・パターン133Aにおける部分群(A)と、部分群管理表131B、部分管理表132Bおよびアノマリ・パターン133Bにおける部分群(B)とにおける共通部のマージを例示する図である。
一例として、図8の例は、メール相手(x)より構築した検知パターンの学習モデル13における部分群(A、B)であるものとする。また、部分群(A)は、3通のメールをやり取りした後に攻撃メールを受けた部分群とする。また、部分群(B)は、3通目までは部分群(A)と同じであり、4通目に部分群(A)とは異なるメールを受けてから攻撃メールを受けた部分群とする。
このように、3通のメールをやり取りした共通のアノマリ・パターン133(共通部)がある場合、学習モデル構築部12は、学習モデル13における部分群(A、B)をマージして共通部の重複を除去した部分群管理表131C、部分管理表132Cおよびアノマリ・パターン133Cを作成する。なお、部分群管理表131C、部分管理表132Cおよびアノマリ・パターン133Cの識別子については、共通の識別子(例えば部分群(A)の部分識別子+部分群(B)の部分識別子)を新たに付与する。このように、学習モデル構築部12は、部分群における共通のアノマリ・パターン133をマージすることで、学習モデル13のデータ量を削減することができる。
次いで、学習モデル構築部12は、全部分についてS19〜S21の処理が完了したか否かを判定する(S22)。全部分の処理が完了していない場合(S22:NO)、学習モデル構築部12は、S19へ処理を戻し、処理が完了していない次の部分についての処理を実施する。全部分の処理が完了した場合(S22:YES)、学習モデル構築部12は学習モデル13の構築にかかる処理を終了する。
次に、アノマリ検知にかかる処理の詳細を説明する。図9は、アノマリ検知にかかる処理の一例を示すフローチャートである。
図9に示すように、処理が開始されると、アノマリ検知部14は、前処理後のイベントデータ30をもとに、監視対象のシステムにおいてリアルタイムに発生した事象に対応するパターンデータ(アノマリ・パターン)を作成する(S30)。このアノマリ・パターンについては、定義・ルール情報11をもとにマスキングを施したものとする。次いで、アノマリ検知部14は、S30で作成したアノマリ・パターンについて、時系列順に同一命題の事象(例えば、メール相手(a、b、…、x)ごとのメール受信)を連結する(S31)。
次いで、アノマリ検知部14は、S30、S31で作成した今回のアノマリ・パターンは一つ前のパターンと同一であるか否かを判定する(S32)。同一である場合(S32:YES)、アノマリ検知部14は、一致するアノマリ・パターンをマージする(S33)。同一でない場合(S32:NO)、アノマリ検知部14は、S33の処理をスキップする。
次いで、アノマリ検知部14は、現アノマリ・パターンの要素と同一要素分だけを学習モデル13と比較する(S34)。次いで、アノマリ検知部14は、S34の比較において一致する学習モデル13があるか否かを判定する(S35)。一致する学習モデル13がない場合(S35:NO)、アノマリ検知部14は、S40へ処理を進める。
一致する学習モデル13がある場合(S35:YES)、アノマリ検知部14は、現アノマリ・パターンと途中(同一要素分)まで一致した学習モデル13全体とを比較する(S36)。次いで、アノマリ検知部14は、S36の比較において最後まで一致したか否かを判定する(S37)。最後まで一致しない場合(S37:NO)、学習モデル13との比較においてシステムに異常が生じていることの確認が取れないことから、異常検知のアラームを出すことなく、処理を終了する。
最後まで一致する場合(S37:YES)、アノマリ検知部14は、一致した学習モデル13は、「いつも」の状態を示す除外パターンであるか、「異常」の状態を示す検知パターンであるかを判定する(S38)。S38において「いつも」である場合、異常検知のアラームを出すことなく、処理を終了する。
S38において「異常」である場合、アノマリ検知部14は、異常検知のアラームを出力部16に発信し(S39)、処理を終了する。異常検知のアラームを受けた出力部16は、端末装置2や所定のアプリなどに異常検知を出力する。
S40に処理を進める場合は、現アノマリ・パターンと一致する学習モデル13がないので、「異常」の状態を示す検知パターンだけでなく、「いつも」の状態を示す除外パターンとの一致もないこととなる。したがって、S40において、アノマリ検知部14は、異常とまでは言えないが、不審な状態であることを示す不審アラームを出力部16に発信する。不審アラームを受けた出力部16は、端末装置2や所定のアプリなどに不審アラームを出力する。
次いで、アノマリ検知部14は、学習モデル13における除外パターン・検知パターンの各々と、S30、S31で作成したアノマリ・パターンとの類似性を算出する(S41)。具体的には、パターンマッチにかかる公知の手法を用いることで、互いのパターンの類似度合いを求める。
次いで、アノマリ検知部14は、算出された類似度合いをもとに、S30、S31で作成したアノマリ・パターンが除外パターン・検知パターンのどちらに近いかを判定する(S42)。S42において除外パターンに近い場合、システムの現状が定常とするパターンに類似していることから、アノマリ検知部14は、定常に対する不審回数を増加する(S43)。
次いで、アノマリ検知部14は、定常に対する不審回数が予め定められた閾値を超過するか否かを判定する(S44)。超過する場合(S44:≧閾値)、アノマリ検知部14は、異常の度合いが高いことから定常起因の異常検知アラームを出力部16に発信する(S45)。異常検知アラームを受けた出力部16は、端末装置2や所定のアプリなどに異常検知を出力する。
S42において検知パターンに近い場合、システムの現状が異常とするパターンに類似していることから、アノマリ検知部14は、異常に対する不審回数を増加する(S46)。次いで、アノマリ検知部14は、異常に対する不審回数が予め定められた閾値を超過するか否かを判定する(S47)。超過する場合(S47:≧閾値)、アノマリ検知部14は、異常の度合いが高いことから異常起因の異常検知アラームを出力部16に発信する(S48)。異常検知アラームを受けた出力部16は、端末装置2や所定のアプリなどに異常検知を出力する。
図10は、異常検知の一例を説明する説明図である。図10において、上段には除外パターンの学習モデル13に含まれるアノマリ・パターン133の一例が示されている。また、下段にはS30、S31で作成したアノマリ・パターン31の一例が示されている。図10に示すように、例えば、S30、S31で作成したシステムの現状を示すアノマリ・パターン31と、除外パターンのアノマリ・パターン133とが不一致である場合(非該当時)、アノマリ検知部14はシステムにおける不審アラームを出力する。そして、定常に対する不審回数が予め定められた閾値を超過したところで、定常起因の異常検知アラームを出力する。
以上のように、検知装置1の定義・ルール情報11は、過去ログ20に含まれる事象の中から、特定事象を抽出し、特定事象ごとに、特定事象と関連する複数の関連事象を特定事象を起点とする所定の時間幅にわたって抽出する。また、定義・ルール情報11は、特定事象ごとに、特定事象および関連事象に対応するアノマリ・パターン133を作成する。また、定義・ルール情報11は、特定事象ごとに作成されたアノマリ・パターン133を特定事象の時間順に結合した学習モデル13を構築する。検知装置1のアノマリ検知部14は、学習モデル13と、発生した事象に応じて入力されるイベントデータ30との照合結果をもとに異常(アノマリ)の検知を行う。
このように、過去ログ20から特定事象と、特定事象を起点とする所定の時間幅にわたる関連事象とを抽出してアノマリ検知にかかる学習モデル13を構築するため、特定事象間に生じた数々の別事象が学習モデル13に混じることを抑止できる。よって、検知装置1は、構築された学習モデル13と、イベントデータ30との照合結果をもとにアノマリ検知を行うことで、間欠的で長期間にわたる事象を伴うアノマリを精度よく検知できる。
図11は、やり取り型標的型メール攻撃における異常検知を説明する説明図である。図11に示すように、検知装置1では、間欠的で長期間にわたる事象を伴うやり取り型標的型メール攻撃における異常(アノマリ)を精度よく検知できる。
なお、図示した各装置の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。
例えば、本実施形態では検知装置1単体の装置構成を例示したが、複数のストレージ装置やサーバ装置などをネットワークで接続したクラウドコンピューティングとしてもよい。
また、検知装置1で行われる各種処理機能は、CPU(またはMPU、MCU(Micro Controller Unit)等のマイクロ・コンピュータ)上で、その全部または任意の一部を実行するようにしてもよい。また、各種処理機能は、CPU(またはMPU、MCU等のマイクロ・コンピュータ)で解析実行されるプログラム上、またはワイヤードロジックによるハードウエア上で、その全部または任意の一部を実行するようにしてもよいことは言うまでもない。
ところで、上記の実施形態で説明した各種の処理は、予め用意されたプログラムをコンピュータで実行することで実現できる。そこで、以下では、上記の実施例と同様の機能を有するプログラムを実行するコンピュータ(ハードウエア)の一例を説明する。図12は、実施形態にかかる検知装置1のハードウエア構成の一例を示すブロック図である。
図12に示すように、検知装置1は、各種演算処理を実行するCPU101と、データ入力を受け付ける入力装置102と、モニタ103と、スピーカ104とを有する。また、検知装置1は、記憶媒体からプログラム等を読み取る媒体読取装置105と、各種装置と接続するためのインタフェース装置106と、有線または無線により外部機器と通信接続するための通信装置107とを有する。また、検知装置1は、各種情報を一時記憶するRAM108と、ハードディスク装置109とを有する。また、検知装置1内の各部(101〜109)は、バス110に接続される。
ハードディスク装置109には、上記の実施形態で説明した前処理部10a、10b、学習モデル構築部12、アノマリ検知部14、分散・並列処理部15および出力部16における各種の処理を実行するためのプログラム111が記憶される。また、ハードディスク装置109には、プログラム111が参照する各種データ112(学習モデル13、過去ログ20およびイベントデータ30など)が記憶される。入力装置102は、例えば、検知装置1の操作者から操作情報の入力を受け付ける。モニタ103は、例えば、操作者が操作する各種画面を表示する。インタフェース装置106は、例えば印刷装置等が接続される。通信装置107は、LAN(Local Area Network)等の通信ネットワークと接続され、通信ネットワークを介した外部機器との間で各種情報をやりとりする。
CPU101は、ハードディスク装置109に記憶されたプログラム111を読み出して、RAM108に展開して実行することで、各種の処理を行う。なお、プログラム111は、ハードディスク装置109に記憶されていなくてもよい。例えば、検知装置1が読み取り可能な記憶媒体に記憶されたプログラム111を読み出して実行するようにしてもよい。検知装置1が読み取り可能な記憶媒体は、例えば、CD−ROMやDVDディスク、USB(Universal Serial Bus)メモリ等の可搬型記録媒体、フラッシュメモリ等の半導体メモリ、ハードディスクドライブ等が対応する。また、公衆回線、インターネット、LAN等に接続された装置にこのプログラム111を記憶させておき、検知装置1がこれらからプログラム111を読み出して実行するようにしてもよい。
1…検知装置
2…端末装置
10a、10b…前処理部
11…定義・ルール情報
12…学習モデル構築部
13…学習モデル
14…アノマリ検知部
15…分散・並列処理部
16…出力部
20…過去ログ
30…イベントデータ
31、133、133A、133B、133C、133a、133b…アノマリ・パターン
101…CPU
111…プログラム
131、131A、131B、131C…部分群管理表
132、132A、132B、132C…部分管理表
T1、T2…期間

Claims (6)

  1. 過去ログに含まれる事象の中から、所定の事象を抽出し、前記所定の事象ごとに、前記所定の事象と関連する複数の関連事象を前記所定の事象を起点とする所定の時間幅にわたって抽出し、
    前記所定の事象および前記関連事象に対応するパターンデータを作成し、
    前記パターンデータを前記所定の事象の時間順に結合した学習モデルを構築し、
    前記学習モデルと、発生した事象に応じて入力されるイベントデータとの照合結果をもとに異常の検知を行う
    処理をコンピュータに実行させることを特徴とする検知プログラム。
  2. 前記抽出する処理は、前記起点に対して事象ごとに予め設定された終点のルールをもとに、前記所定の事象および前記関連事象の中で前記起点に対する終点が最も長くなる時間幅で抽出を行う
    ことを特徴とする請求項1に記載の検知プログラム。
  3. 前記パターンデータを作成する処理は、事象ごとに予め設定されたマスキングのルールをもとに、前記所定の時間幅にわたって抽出された所定の事象および関連事象に対応するパターンデータをマスキングする
    ことを特徴とする請求項1または2に記載の検知プログラム。
  4. 前記学習モデルを構築する処理は、前記所定の事象ごとに作成されたパターンデータにおいて、互いに共通する共通部をマージして前記学習モデルを構築する
    ことを特徴とする請求項1乃至3のいずれか一項に記載の検知プログラム。
  5. 過去ログに含まれる事象の中から、所定の事象を抽出し、前記所定の事象ごとに、前記所定の事象と関連する複数の関連事象を前記所定の事象を起点とする所定の時間幅にわたって抽出し、
    前記所定の事象および前記関連事象に対応するパターンデータを作成し、
    前記パターンデータを前記所定の事象の時間順に結合した学習モデルを構築し、
    前記学習モデルと、発生した事象に応じて入力されるイベントデータとの照合結果をもとに異常の検知を行う
    処理をコンピュータが実行することを特徴とする検知方法。
  6. プロセッサが、
    過去ログに含まれる事象の中から、所定の事象を抽出し、前記所定の事象ごとに、前記所定の事象と関連する複数の関連事象を前記所定の事象を起点とする所定の時間幅にわたって抽出し、
    前記所定の事象および前記関連事象に対応するパターンデータを作成し、
    前記パターンデータを当該所定の事象の時間順に結合した学習モデルを構築し、
    前記学習モデルと、発生した事象に応じて入力されるイベントデータとの照合結果をもとに異常の検知を行う
    処理を実行することを特徴とする検知装置。
JP2016006455A 2016-01-15 2016-01-15 検知プログラム、検知方法および検知装置 Active JP6827266B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2016006455A JP6827266B2 (ja) 2016-01-15 2016-01-15 検知プログラム、検知方法および検知装置
US15/376,815 US20170208080A1 (en) 2016-01-15 2016-12-13 Computer-readable recording medium, detection method, and detection apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016006455A JP6827266B2 (ja) 2016-01-15 2016-01-15 検知プログラム、検知方法および検知装置

Publications (2)

Publication Number Publication Date
JP2017126283A true JP2017126283A (ja) 2017-07-20
JP6827266B2 JP6827266B2 (ja) 2021-02-10

Family

ID=59314077

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016006455A Active JP6827266B2 (ja) 2016-01-15 2016-01-15 検知プログラム、検知方法および検知装置

Country Status (2)

Country Link
US (1) US20170208080A1 (ja)
JP (1) JP6827266B2 (ja)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019133246A (ja) * 2018-01-29 2019-08-08 富士通株式会社 順序制御プログラム、順序制御方法、及び情報処理装置
JP2019204259A (ja) * 2018-05-23 2019-11-28 株式会社日立製作所 監視装置、監視システムおよび監視方法
WO2019224907A1 (ja) * 2018-05-22 2019-11-28 三菱電機株式会社 不正メール判定装置、不正メール判定方法及び不正メール判定プログラム
WO2019229988A1 (ja) * 2018-06-01 2019-12-05 三菱電機株式会社 不審メール検知装置、不審メール検知方法および不審メール検知プログラム
JP2020528609A (ja) * 2017-07-26 2020-09-24 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation データ処理における侵入検知および侵入軽減
JP2021100171A (ja) * 2019-12-20 2021-07-01 株式会社テクノア 情報処理装置
US12003523B2 (en) 2020-01-23 2024-06-04 Mitsubishi Electric Corporation Model generation apparatus, model generation method, and computer readable medium

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11038905B2 (en) * 2017-01-25 2021-06-15 Splunk, Inc. Identifying attack behavior based on scripting language activity
JP7060800B2 (ja) * 2018-06-04 2022-04-27 日本電信電話株式会社 感染拡大攻撃検知システム及び方法、並びに、プログラム
US10922204B2 (en) * 2018-06-13 2021-02-16 Ca, Inc. Efficient behavioral analysis of time series data
US11132248B2 (en) * 2018-11-29 2021-09-28 Nec Corporation Automated information technology system failure recommendation and mitigation
US10958585B2 (en) 2018-12-31 2021-03-23 Juniper Networks, Inc. Methods and apparatus for facilitating fault detection and/or predictive fault detection
US11138059B2 (en) 2019-09-25 2021-10-05 Juniper Networks, Inc. Log analysis in vector space
JP2021192187A (ja) * 2020-06-05 2021-12-16 富士通株式会社 出現頻度算出プログラム、グラフィックス プロセッシング ユニット、情報処理装置、及び出現頻度算出方法
JP7504816B2 (ja) * 2021-01-28 2024-06-24 株式会社日立製作所 ログ検索支援装置、及びログ検索支援方法
US20240212350A1 (en) * 2022-06-07 2024-06-27 Sri International Spatial-temporal anomaly and event detection using night vision sensors

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002259168A (ja) * 2001-03-05 2002-09-13 Toshiba Corp ログ特徴を抽出する装置、方法、およびプログラム
JP2011065440A (ja) * 2009-09-17 2011-03-31 Mitsubishi Denki Information Technology Corp ログデータ分析装置及びログデータ分析装置のログデータ分析方法及びログデータ分析プログラム
JP2011138422A (ja) * 2009-12-29 2011-07-14 Nippon Telegr & Teleph Corp <Ntt> 行動パターン検出装置、行動パターン検出方法及び行動パターン検出プログラム
JP2014531647A (ja) * 2011-09-09 2014-11-27 ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. 基準ベースラインに基づき、イベントシーケンス中の時間的位置に従ってイベントを評価するシステム及び方法
JP2015079512A (ja) * 2013-10-15 2015-04-23 ペンタ・セキュリティ・システムズ・インコーポレーテッド イベント分析に基づくサイバー攻撃探知装置及び方法

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8135994B2 (en) * 2006-10-30 2012-03-13 The Trustees Of Columbia University In The City Of New York Methods, media, and systems for detecting an anomalous sequence of function calls
US10484406B2 (en) * 2015-01-22 2019-11-19 Cisco Technology, Inc. Data visualization in self-learning networks
US9722906B2 (en) * 2015-01-23 2017-08-01 Cisco Technology, Inc. Information reporting for anomaly detection
US10372906B2 (en) * 2015-02-17 2019-08-06 International Business Machines Corporation Behavioral model based on short and long range event correlations in system traces
US9930025B2 (en) * 2015-03-23 2018-03-27 Duo Security, Inc. System and method for automatic service discovery and protection
US9654485B1 (en) * 2015-04-13 2017-05-16 Fireeye, Inc. Analytics-based security monitoring system and method
US9699205B2 (en) * 2015-08-31 2017-07-04 Splunk Inc. Network security system
US9888024B2 (en) * 2015-09-30 2018-02-06 Symantec Corporation Detection of security incidents with low confidence security events
US10075850B2 (en) * 2015-12-15 2018-09-11 The Boeing Company Method and system for wireless attack detection and mitigation

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002259168A (ja) * 2001-03-05 2002-09-13 Toshiba Corp ログ特徴を抽出する装置、方法、およびプログラム
JP2011065440A (ja) * 2009-09-17 2011-03-31 Mitsubishi Denki Information Technology Corp ログデータ分析装置及びログデータ分析装置のログデータ分析方法及びログデータ分析プログラム
JP2011138422A (ja) * 2009-12-29 2011-07-14 Nippon Telegr & Teleph Corp <Ntt> 行動パターン検出装置、行動パターン検出方法及び行動パターン検出プログラム
JP2014531647A (ja) * 2011-09-09 2014-11-27 ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. 基準ベースラインに基づき、イベントシーケンス中の時間的位置に従ってイベントを評価するシステム及び方法
JP2015079512A (ja) * 2013-10-15 2015-04-23 ペンタ・セキュリティ・システムズ・インコーポレーテッド イベント分析に基づくサイバー攻撃探知装置及び方法

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020528609A (ja) * 2017-07-26 2020-09-24 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation データ処理における侵入検知および侵入軽減
US11652852B2 (en) 2017-07-26 2023-05-16 International Business Machines Corporation Intrusion detection and mitigation in data processing
JP2019133246A (ja) * 2018-01-29 2019-08-08 富士通株式会社 順序制御プログラム、順序制御方法、及び情報処理装置
JP7027912B2 (ja) 2018-01-29 2022-03-02 富士通株式会社 順序制御プログラム、順序制御方法、及び情報処理装置
WO2019224907A1 (ja) * 2018-05-22 2019-11-28 三菱電機株式会社 不正メール判定装置、不正メール判定方法及び不正メール判定プログラム
JPWO2019224907A1 (ja) * 2018-05-22 2020-09-03 三菱電機株式会社 不正メール判定装置、不正メール判定方法及び不正メール判定プログラム
JP7134708B2 (ja) 2018-05-23 2022-09-12 株式会社日立製作所 監視装置、監視システムおよび監視方法
JP2019204259A (ja) * 2018-05-23 2019-11-28 株式会社日立製作所 監視装置、監視システムおよび監視方法
JPWO2019229988A1 (ja) * 2018-06-01 2020-09-03 三菱電機株式会社 不審メール検知装置、不審メール検知方法および不審メール検知プログラム
WO2019229988A1 (ja) * 2018-06-01 2019-12-05 三菱電機株式会社 不審メール検知装置、不審メール検知方法および不審メール検知プログラム
JP2021100171A (ja) * 2019-12-20 2021-07-01 株式会社テクノア 情報処理装置
JP7432357B2 (ja) 2019-12-20 2024-02-16 株式会社テクノア 情報処理装置
US12003523B2 (en) 2020-01-23 2024-06-04 Mitsubishi Electric Corporation Model generation apparatus, model generation method, and computer readable medium

Also Published As

Publication number Publication date
US20170208080A1 (en) 2017-07-20
JP6827266B2 (ja) 2021-02-10

Similar Documents

Publication Publication Date Title
JP6827266B2 (ja) 検知プログラム、検知方法および検知装置
TWI688917B (zh) 風險識別模型構建和風險識別方法、裝置及設備
US20170262353A1 (en) Event correlation
CN111931860A (zh) 异常数据检测方法、装置、设备及存储介质
CN109120429B (zh) 一种风险识别方法及系统
CN106027577A (zh) 一种异常访问行为检测方法及装置
CN114185708A (zh) 基于分布式链路追踪的数据分析方法、装置和电子设备
CN106656536A (zh) 一种用于处理服务调用信息的方法与设备
US20170140309A1 (en) Database analysis device and database analysis method
CN111694718A (zh) 内网用户异常行为识别方法、装置、计算机设备及可读存储介质
US20160255109A1 (en) Detection method and apparatus
JP2017126282A (ja) 検知プログラム、検知方法および検知装置
CN109284331B (zh) 基于业务数据资源的制证信息获取方法、终端设备及介质
CN114116496A (zh) 自动化测试方法、装置、设备及介质
CN114528457A (zh) Web指纹检测方法及相关设备
CN111666298A (zh) 基于flink的用户服务类别检测方法、装置、计算机设备
CN115001934A (zh) 一种工控安全风险分析系统及方法
WO2020012579A1 (ja) ログ分析装置、ログ分析方法、プログラム
CN110442582B (zh) 场景检测方法、装置、设备和介质
JP6793524B2 (ja) ログ解析システムおよびその方法
Werner et al. Near real-time intrusion alert aggregation using concept-based learning
Khan et al. Context-based irregular activity detection in event logs for forensic investigations: An itemset mining approach
US11106563B2 (en) Log analysis device, log analysis method, and recording medium storing program
CN112699281A (zh) 一种基于gspan算法的告警事件规则挖掘方法与系统
CN114881112A (zh) 一种系统异常检测方法、装置、设备及介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180912

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190730

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190806

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190930

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20200303

C60 Trial request (containing other claim documents, opposition documents)

Free format text: JAPANESE INTERMEDIATE CODE: C60

Effective date: 20200603

C22 Notice of designation (change) of administrative judge

Free format text: JAPANESE INTERMEDIATE CODE: C22

Effective date: 20201104

C23 Notice of termination of proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C23

Effective date: 20201208

C03 Trial/appeal decision taken

Free format text: JAPANESE INTERMEDIATE CODE: C03

Effective date: 20210112

C30A Notification sent

Free format text: JAPANESE INTERMEDIATE CODE: C3012

Effective date: 20210112

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210119

R150 Certificate of patent or registration of utility model

Ref document number: 6827266

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150